رفتن به محتوای اصلی
شنبه ۲۷ مهر ۱۳۹۸
.

دسته بندی اخبار

دسته بندی عمومی

مدت‌هاست آمریکا ما را تحریم سایبری کرده است

‌گفت‌وگو با معاون امنیت فضای تولید و تبادل اطلاعات سازمان فناوری اطلاعات ایران

مدت‌هاست آمریکا ما را تحریم سایبری کرده است

در زمینه سخت‌افزاری عملا سال‌هاست که تجهیزات شرکت‌های بزرگ مانند سیسکو را نمی‌توانیم رسما از آنها خریداری کنیم و این شامل حوزه‌های زیرساختی نیز می‌شود

  

•در زمینه‌هایی خاصی که گمان می‌کردیم اگر اینترنت قطع شود DNS‌ها دچار مشکل می‌شوند و برخی از سرویس‌ها قطع می‌شود رزمایش برگزار و مشاهده کردیم مشکلی ایجاد نشد

•ممکن است برخی گروه‎ها از دیگر کشورها، با استفاده از IPهای ایرانی اقدام به حملات سایبری علیه سایر کشورها کنند، در این هنگام اثبات اینکه این کار از سوی ایران نبوده سخت است

 

 

دکتر سیدهادی سجادی، معاون امنیت فضای تولید و تبادل اطلاعات سازمان فناوری اطلاعات در گفت‌و‌گویی به سوالات ما در زمینه تحریم‌های سایبری و میزان آمادگی کشور در برابر این مخاطرات پاسخ داده است.

 

سوال: تحریم سایبری چگونه تعریف می‌شود؟ و چه ارکانی و بخش‌هایی را شامل می‌شود؟

دکتر سجادی: تحریم سایبری می‌تواند ارکان مختلفی را شامل شود، بخش مهمی از آن دسترسی به دانش در این حوزه است و بخش دیگر مربوط به حوزه خدمات است که این خدمات بدون مرز در سراسر دنیا ارائه می‌شود و تمام کشورها می‌توانند از آن استفاده کنند.یک بخش دیگر می‌تواند شامل ابزارگان توسعه سامانه‌های فناوری اطلاعات باشد.

زیرساخت های ارتباطی نیز بخشی دیگر است که می تواند بحث تحریم‌های سایبری را شامل شود. به واقع در همه حوزه‌های مربوط به فناوری اطلاعات می‌توان تحریم اعمال کرد.

ما در چند سال گذشته نیز با تحریم‌هایی در حوزه فناوری اطلاعات دست و پنجه نرم کرده‌ایم و احتمالا در آینده نیز با آن روبه‌رو خواهیم بود.

برای مثال در سال‌های اخیر توسعه‌دهندگان سیستم‌ها و برنامه‌نویسان ما برای دسترسی به کتابخانه‌های توسعه نرم‌افزار از شرکت‌های ارائه‌کننده کتابخانه، با مشکل جدی مواجه هستند.

ما در سال‌های اخیر در زمینه استفاده و دسترسی به اپلیکیشن‌ها و سامانه‌های گوگل با مشکل روبه‌رو بودیم و ممکن است این محدودیت‌ها بیشتر شود.

در حوزه ارتباطات هنوز مورد خاصی بروز نکرده و ما آن را مشاهده نکردیم در عین حالیکه نمی‌دانیم چه پیش خواهد آمد.

در حوزه خدمات SSL یا گواهی‌های مربوط به آن، هنوز با مشکل جدیدی روبه‌رو نشده‌ایم. با وجود آنکه در حوزه دامنه‌های .ir و امثال آن مشکلی نداریم اما در یک مورد که ما به دنبالssl  برای دامنه‌های GOV از طریق گواهی رایگان برای بخش دولتی بودیم، با این پیغام از سوی ارائه‌دهنده خدمات روبه‌رو شدیم که نمی‌توانیم چنین خدمتی را ارائه دهیم و منع قانونی داریم. این بدین خاطر است که این خدمات در آمریکا پشتیبانی می‌شود و با وجودی که این سرویس رایگان بود به ما ارائه نشد.

در مورد API هایی که سامانه‌های مختلف ارائه می‌کنند و همه می‌توانند از آن استفاده کنند، تحریم‌ها شامل حال ما شده است و خدمات به ما ارائه نمی‌شود و پیش‌بینی می‌کنیم این محدودیت خدمات گسترش پیدا کند که باید فکری برای جبران و راه‌حلی برای آنها پیدا کنیم. 

سوال: آیا قوانین بین‌المللی اجازه اعمال تحریم‌های مربوط به بخش‌های سایبری را به کشور می دهد؟

دکتر سجادی: از نظر قوانین بین‌المللی ما مشکلی نداریم ولی بیشتر این تحریم یک‌جانبه است.به آن دلیل که عمده خدمات در فناوری اطلاعات و ارتباطات و حوزه سایبری در اختیار شرکت‌های آمریکایی است و بسیاری از کشورها دنیا نیز از اعمال نفوذ آمریکا در زمینه تجارت خود با سایر شرکت‌ها واهمه دارند از همین‌رو بسیاری از این خدمات را به ما ارائه نمی‌دهند.

سوال: تحریم‌های سایبری در حوزه نرم‌افزار شدیدتر است یا سخت‌افزار؟

دکتر سجادی: در زمینه سخت‌افزاری عملا سال‌هاست که تجهیزات شرکت‌های بزرگ مانند سیسکو را نمی‌توانیم رسما از آنها خریداری کنیم و این شامل حوزه‌های زیرساختی نیز می‌شود که عموما این را به روش‌هایی حل می‌کنیم. همچنین در بخش سخت‌افزاری کشور، بسیاری از لایسنس‌ها را به ما نمی‌دهند و ما به طرق دیگری آنها را به دست می‌آوریم.

در بخش نرم‌افزاری نیز بیشتر محدودیت‎ها، توسعه‌دهندگان را تحت تاثیر قرار می‌دهد به‌علاوه API هایی که سامانه‌های داخلی ممکن است از آنها استفاده کنند نیز در این بخش تقسیم‌بندی می‌شود.

از سوی دیگر، ما در کشور در حال توسعه استارتاپ‌ها در بخش خدمات هستیم و تحریم‌ها ممکن است لطمه جدی به توسعه‌دهندگان سامانه‌های الکترونیک، که بیشتر توسط شرکت‌های دانش‌بنیان و استارتاپ‌ها انجام می‌گیرد، وارد کند. باید راهی پیدا کنیم که سامانه‌های بومی را تقویت کنیم و مشکلات آنها را برطرف کنیم. 

سوال: آیا ما آمادگی لازم را برای مقابله با تحریم‌های سایبری داریم؟

دکتر سجادی: ستادی در مرکز ملی فضای مجازی به همین منظور تشکیل شده است که در آن تهدیدات احتمالی و سناریوهای مواجهه با آن و راهکارهای مقابله با آن مورد بررسی قرار می‌گیرد. این موضوع مطلق نیست، بلکه نسبی است و می‌شود در بسیاری از جنبه‌ها، مشکلات را حل کرد و برآن فائق آمد.

سوال: توانمندی‌های داخلی تا چه حدی می‌تواند ما را در برابر تحریم‌های سایبری محافظت کند؟

دکتر سجادی: ما از نظر نرم‌افزاری امکانات خیلی خوبی داریم، نیروهای متخصص خوبی هم داریم که مشکلات را پشت سر بگذاریم. اما در زمینه سخت‌افزارها و اپلاینس‌های مهمی که چند شرکت خاص صاحب آن هستند، قطعا با مشکلاتی رو‌به‌رو هستیم.

قطعا ما در یک مدت کوتاه، فرصت کافی را برای دستیابی به فناوری‌های محصولات در مقیاس وسیع نخواهیم داشت. نمونه این فناوری‌ها، توانمندی جهت کار با داده‌های مقیاس وسیع مانند اطلاعات ترافیکی است که در این حوزه راه‌حل‌های ما قطعی نخواهد بود و بدون شک با مشکلاتی روبه‌رو خواهیم شد اما در حوزه‌های نرم افزاری بسیاری از مشکلات را می‌توانیم حل کنیم.

سوال: در حوزه پدافند سایبری ما چقدر توانمندی داریم؟ آیا ما در برابر تهدیداتی مانند قطع اینترنت کشور آماده‌ایم؟

دکتر سجادی:در زمینه تهدیدات سایبری مانورهایی برگزار شد. البته نه در همه زمینه. بلکه در زمینه‌هایی خاصی که گمان می‌کردیم اگر اینترنت قطع شود DNS ها دچار مشکل می‌شوند و برخی از سرویس‌ها قطع می‌شود که مشاهده کردیم مشکلی ایجاد نشد. اقداماتی که در شبکه ملی اطلاعات انجام شده است پیش‌بینی همین مواقع بود و مانورهایی که برگزار شد هم در همین راستا در وزارت ارتباطات سنجش شده است و از بسیاری از جهات ما مشکلی نداشتیم. 

سوال: شبکه ملی اطلاعات در حال حاضر چه وضعیتی دارد و تا چه حد برای بحران‌ها آماده است؟

دکتر سجادی: در هنگام بررسی عملکرد شبکه ملی اطلاعات، باید دید چه نگاه و چه انتظاری از این شبکه داریم.

برای مثال یکی از اهداف اصلی شبکه اطلاعات این بود که اگر ترافیک داده‌ای یعنی مبدا و مقصد آن در کشور است، این اطلاعات از کشور خارج نشده و در کشورها دیگر چرخش نشده باشد. این مسئله در حال حاضر حل شده است و داده‌هایی با ویژگی‌های فوق از کشور خارج نمی‌شود.

رکن دیگر از نظر محتوا بود. به آن معنی که در این بخش بتوانیم به حجم قابل قبولی از داده‌هایی که خودمان تولیدکننده آن هستیم دست پیدا کنیم. در حال حاضر آمارها نشان می‌دهد محتواهای داخل خوب و مورد مراجعه مردم قرار دارد و نسبت داده‌ها دارد به نسبت خوبی می‌رسد.

در حوزه امنیت در شبکه ملی اطلاعات کارهای اساسی و مهمی انجام شده است. اولین اقدام ظرفیت‌سازی در مورد نیروهای متخصص و هسته‌های تخصصی در زمینه امنیت بوده است که بتوانند در شبکه ملی اطلاعات، حوادث و مشکلات را مهار کنند و حتی از بروز حوادث جلوگیری کنند. وزارت ارتباطات هم در زمینه تقویت صنایع امنیت کمک‌های بزرگی انجام داده است. برای مثال در بخش امنیت همه شرکت‌های مدعی را در دو سال قبل دعوت کردیم، محصولات آنها را در بسیاری از دستگاه‌ها نصب کردیم و دانش بومی آنها را تقویت کردیم. در این بخش ما محصولاتی را داریم که با بازار خارجی قابل رقابت است. همچنین به شرکت‌های حوزه امنیت تسهیلات دادیم و محصولات آنها را هم خریداری کردیم. چندین محصول کلیدی در این حوزه را توسعه دادیم. ۳۵ مرکز تخصصی تحت عنوان مراکز آپا ایجاد کردیم که صدها نفر کارشناس در آنها فعالیت کرده و مشغول تولید دانش هستند. این ظرفیت‌سازی‌ها، هم در صنعت و هم در نیروی انسانی، هم در ایجاد سامانه‌های پایش و رصد آسیب‌پذیری در برابر تهدیدات که بخشی از آن در حوزه پدافند غیرعامل است، انجام شده است.

بخشی از بحث پدافند غیرعامل، مسائل مربوط به پایداری است. به عبارتی قبل از اینکه حوادث رخ بدهد، سیستم‌ها را پایش می‌کنیم و به ظرفیت خوبی در این بخش قبل از وقوع حملات دست پیدا کرده‌ایم. ما در حوزه خدمات واکنشی امکانات خوبی داریم و حوادث را بسیار سریع مهار می‌کنیم و در حوزه فعالیت‌ها پیشگیرانه هم، اقدامات وسیعی انجام داده‌ایم که ایجاد گروه‌های واکنش سریع و حوادث بخشی از این اقدامات است.

در حال حاضر بسیاری از هک شدن‌ها در کشور را قبل از بروز و ظهور خنثی می‌کنیم. از همین رو وقتی در مورد شبکه ملی اطلاعات بحث می‌کنیم. باید مشخص کنیم دید و انتظار ما از این شبکه چیست.

در حوزه نقل و انتقال داده‌ها در داخل کشور و خدمات تولید محتوا، مردم بخش اعظمی از نیاز خود را از طریق محتواهای داخلی برطرف می کنند که آمار قابل قبولی است. در مورد خدمات دیتاسنتر داخلی هم کارهای خوبی انجام شده است. در بخش دولتی و نهادهای حاکمیتی، هیچ سایت داخلی در خارج از کشور Host نشده است. در واقع این فرهنگ و ایجاد حس ضرورت شکل‌گیری این اقدامات در داخل ایجاد شده است. ما در کشور حتی سامانه‌هایی در مقیاس بین‌المللی هم ایجاد کردیم.

چند هزار سایت داخلی را از طریق حفاظت‌های ابری در شبکه ملی اطلاعات تحت حمایت داریم و همین امر سبب کم شدن حجم حملات به آنها شده است. اینها همه، شاخص‌های یک شبکه ملی اطلاعات شایسته و مناسب برای کشور است که کماکان هم در حال توسعه است. 

اما این تصور که یک شبکه کاملا مجزا از اینترنت داشته باشیم، عملا قابل پیاده‌سازی منطقی نیست و معنا ندارد چون سیستم‌ها با یکدیگر تعامل دارند، اما شما باید از مرزهای موجود فضای فناوری اطلاعات کشور در برابر نفوذ، حفاظت کنید و تحت کنترل باشد.

سوال: در بسیار مواردی شاهد هستیم کشورهایی مانند آمریکا و برخی کشورهای عربی، ایران را به حملات سایبری علیه شبکه‌های داخلی خود متهم می‌کنند. آیا ما توان چنین حملاتی را داریم و هدف از مطرح کردن چنین اتهاماتی چیست؟

دکتر سجادی: ما در این زمینه بررسی‌های بسیاری در مورد پروژه ایران‌هراسی داشته‌ایم. نمونه‌هایی از فعالیت‌های انجام گرفته داشته‌ایم که سعی داشته‌اند مستنداتی را جمع‌آوری کنند که حملات سایبری را از مبادی ایران نشان دهند. این موارد بیشتر جنبه ایران‌هراسی دارد. در عین حال بخشی از این اتهامات به خاطر ایجاد رونق و گرم کردن کسب و کار شرکت‌های خارجی مطرح می‌شود تا بتوانند به این بهانه محصولات خود را مثلا به اعراب بفروشند تا پروژه‌ها تامین امنیت سایبری آنان را با ترساندن آنها از ایران به دست آورند. البته مسلما اهداف سیاسی نیز در این میان دنبال می‌شود.

البته در این میان نکته‎ای شایان توجه است. در هر کشوری، منابعی و مناطقی است که از نظر امنیتی، ضعیف هستند، ممکن است این نقاط، طعمه یک گروهی از کشور دیگر قرار گیرد و حملات از سمت قربانی تلقی شود. به نظر ما اینها بخشی از پروژه ایران‌هراسی است که ما گزارش آن را به مراجع مسئول در داخل کشور ارائه کردیم و کم و کیف آن را بیان کرده‌ایم و اعلام کردیم افراد و گروه‌ها مراقب اظهار نظرها خود باشند تا بهانه به دست دشمنان ندهند. همچنین درخواست کردیم در زمینه امن‌سازی سامانه‌های خود اقدام کنند و آنها را در برابر حملات سایبری ایمن کنند. چون ممکن است برخی گروه‎ها از دیگر کشورها، با استفاده از IPهای ایرانی اقدام به حملات سایبری علیه سایر کشورها کنند. در این هنگام اثبات اینکه این کار از سوی ایران نبوده سخت است. بنابراین باید نسبت به تامین امنیت و نفوذناپذیری سیستم‌ها اقدام شود تا مورد سوءاستفاده قرار نگیرد.

سوال: برای افزایش امنیت فضای سایبری کشور در برابر تهدیدها و تحریم ها چه سیاست‌هایی را باید پیش گرفت. به عبارتی باید کدام قسمت‌ها را تقویت و کدام نقاط ضعف را برطرف کرد؟

دکتر سجادی: به اعتقاد من مهم‌ترین کاری که باید در کشور صورت گیرد تعریف یک مدل بلوغ امنیتی برای سازمان‌ها است که سازمان‌ها براساس آن مدل حرکت کنند و امنیت خود را ارتقاء ببخشند. این مسئله هم در حوزه امنیت سایبری تعریف می‌شود هم در حوزه پدافند غیرعامل.

به اعتقاد من در حوزه پدافندغیرعامل در مباحث سایبری موارد مربوط به آسیب‌ناپذیری سامانه‌ها مورد رصد قرار می‌گیرد و اهمیت دارد. 

به عبارتی ما در وزارت ارتباطات آسیب‌پذیری سیستم‌ها را بررسی و رصد می‌کنیم اما در پدافندغیرعامل آسیب‌ناپذیری سیستم‌ها بررسی می‌شود.

آنچه ما اکنون در کسب‌و‌کارهای مختلف و سازمان‌ها مشاهده می‌کنیم این است که مسئولیت‌پذیری و پاسخگویی در برابر حوادث سایبری خیلی جدی گرفته نمی‌شود. 

نکته دیگر اینکه مدل بلوغ امنیتی سازمان‌ها باید مورد نظر قرار گرفته شود که اکنون اینگونه نیست.

همچنین باید مسئله حاکمیت امنیت در سازمان‌ها جدی گرفته شود. به عبارتی بحث پاسخگویی در مسئولیت پذیری باید جدی گرفته شود. چه بسا فردی با دانش اندک و تجربه‌ای کم، مسئولیت یک سامانه بسیار مهم را برعهده می‌گیرد در صورتی که اشرافی بر مسائل امنیتی ندارد و سیستماتیک به موضوع نگاه نمی‌کند. از همین رو، وقتی مشکلی پیش می‌آید به راحتی از کنار آن می‌گذرد، در صورتی که پاسخگو بودن در برابر تهدیدات امنیتی مسئله بسیار مهمی است. 

در تعجبم کسی که بر این موضوع اشراف ندارد و نمی‌تواند مسئله امنیت را در سازمان خود، تقویت و پیگیری کند و آن را ارتقاء ببخشد، چگونه مسئولیت می‌پذیرد. معتقدم کسی که مسئولیت یک سامانه مهم را برعهده می‌گیرد اگر به تمام تمهیدات فکر نکرده باشد، شب نباید خوابش ببرد.

باید سازمان‌ها به سمتی بروند که به‌طور سیستماتیک امنیت را در سیستم‌هایشان اجرایی کنند. در این صورت است که می‌توانیم شاهد باشیم که امنیت ارتقاء پیدا کند.

از سویی دیگر نهادهایی که بر امنیت نظارت می‌کنند باید مدلی از امنیت‌سنجی را در سازمان‌ها پیاده کنند و با استخراج شاخص‌های امنیتی، از سازمان‌ها بخواهند که در مورد میزان امنیت خود گزارش داده و به صورت دوره‌ای امنیت‌سنجی را انجام دهند. ما هرچقدر سامانه نصب و هزینه کنیم اما چارچوب‌ها و نظارت‌ها دقیق نباشد به نتیجه مطلوب نمی‌رسیم.

سوال: در پایان اگر مطلبی باقی باقی مانده است که می‌خواهید در مورد آن توضیح دهید بفرمایید.

دکتر سجادی: ما در وزارت ارتباطات در چند زمینه کار می‌کنیم یکی شبکه ملی اطلاعات است و دیگری خدمات سرویس‌ها. همچنین انتظار داریم سازمان‌ها به خدماتی که به ویژه در حوزه امنیت در مرکز ماهر ارائه می شود توجه داشته باشند و این خدمات را بررسی کنند.

همچنین به مطالبی که در حوزه امنیت توسط سایت  www.certcc.ir  به عنوان سرت ملی ایران منتشر می شود توجه داشته باشند. زیرا مستندات و مرجع‌های بسیار خوبی امنیتی در این سایت ارائه می‌شود.

توصیه می‌کنم مدیران حوزه فناوری اطلاعات سازمان‌ها از این سایت بازدید و از آن استفاده کنند و با مرکز ماهر در ارتباط باشند. 

ما هر مشورتی که بخواهند در زمینه امنیت و ... به آنها ارائه می‌دهیم. همچنین در حوزه اعتبار‌بخشی نرم‌افزار و خدمات در حوزه افتا آماده خدمت‌رسانی و ارائه گواهینامه‎های مورد هستیم. در کشور ما خدمات و محصولاتی که گواهی‌نامه ایمنی دارد بسیار کم است و ما این محدودیت را در سازمان‌ها ایجاد کنیم که چنانچه سازمانی محصولی را استفاده می‌کنند حتما باید گواهی سازمان فناوری اطلاعات را در زمینه امنیت تقاضا کنند که بعضا این کار انجام نمی‌شود. 

این کار باید هم در شرکت‎ها و سازمان‌ها گسترش پیدا کند و سازمان‌ها محصولاتی را در اختیار بگیرند که مورد تایید سازمان فناوری اطلاعات باشد و خدماتی را که دریافت می‌کنند نیز مورد تایید باشد. در حوزه حوادث سایبری نیز توصیه می‌کنیم موارد ایمنی را در سایت ماهر پیگیری کنند چون ما خدمات بسیار خوبی را در این حوزه ارائه می‌کنیم که می‌توانند از آن استفاده کنند.

با تشکر از وقتی که در اختیار نشریه قرارگاه پدافند سایبری کشور قرار دادید.

دکتر سجادی: من هم از شما متشکرم.

 

۴۹